Envié un formulario web a mi estudio de yoga y todo lo que obtuve fue este pésimo ataque de malware


Getty Images El último día de mayo, una de mis bandejas de entrada recibió correos electrónicos que decían ser de uno de los propietarios del estudio de yoga al que asisto. Se trataba de un mensaje que envié a través del sitio web del estudio en enero, que se resolvió en un correo electrónico del copropietario al día siguiente. Aquí estaba ella, cuatro meses después, enviándome un correo electrónico de nuevo. «A continuación se encuentran los documentos sobre los que conversamos la semana pasada», escribió el autor del correo electrónico. «Contácteme si tiene alguna pregunta sobre los archivos adjuntos». Se adjuntó un archivo ZIP protegido con contraseña. Debajo del cuerpo del mensaje estaba la respuesta que el copropietario me había enviado en enero. Estos correos electrónicos llegaron una o dos veces al día durante las próximas semanas, cada uno desde una dirección diferente. Los archivos y las contraseñas se cambiaron muchas veces, pero el formato básico, incluido el hilo de correo electrónico de enero, se mantuvo constante. Con la ayuda de investigadores de la empresa de seguridad Proofpoint, ahora sé que los correos electrónicos son obra de un grupo criminal al que llaman TA578. TA578 es conocido en la industria de la seguridad como el agente de acceso inicial. Esto significa que los dispositivos de los usuarios finales se ven comprometidos de manera oportunista en masa al inundar tantas direcciones como sea posible con archivos maliciosos. Luego, la pandilla vende el acceso a las máquinas comprometidas a otros actores de amenazas para que las usen para ransomware, cryptojacking y otros tipos de campañas.

¿Qué es el secuestro de hilos?

De alguna manera, los miembros del grupo recibieron el mensaje que envié a mi estudio de yoga. La explicación más simple sería que la computadora o la cuenta de correo electrónico del propietario del estudio se vieron comprometidas, pero existen otras posibilidades. Con la posesión de mi dirección de correo electrónico y el correo electrónico auténtico que me envió el propietario en enero, TA578 ahora tenía las materias primas para ejecutar su comercio. «Los mensajes en esta campaña parecen ser respuestas a hilos de correo electrónico benignos anteriores», escribió Proofpoint en un correo electrónico respondiendo a las preguntas. “Esta técnica se llama secuestro de subprocesos. Los actores de amenazas usan esta técnica para engañar a los destinatarios haciéndoles creer que están interactuando con alguien en quien confían para que desconfíen de descargar o abrir archivos adjuntos que pueden estar enviando como parte de la conversación. Los actores de amenazas a menudo roban estos mensajes benignos a través de infecciones de malware anteriores o compromisos de cuentas”. Proofpoint observó por primera vez a los actores de amenazas que usaban Bumblebee en campañas basadas en correo electrónico en marzo. Los archivos adjuntos a los correos electrónicos contenían un archivo ISO o IMG incrustado junto con un archivo de enlace LNK y un archivo DLL. El archivo LNK se usa para ejecutar la DLL en un punto de entrada específico para iniciar el malware. Proofpoint dice que las campañas TA578 Bumblebee generalmente proceden a descargar cargas útiles de segunda etapa de malware Cobalt Strike y Meterpreter. Afortunadamente, supe casi de inmediato que los correos electrónicos eran maliciosos, pero no es difícil ver cómo algunas personas podrían caer en la trampa. ¿Quién hubiera pensado que un mensaje de rutina enviado a un estudio de yoga abriría la puerta a un ataque de malware? Le envié un correo electrónico al propietario y le expliqué la serie de eventos y le advertí que una cuenta o máquina que usaba el estudio estaba casi seguramente comprometida. Nunca recibí una respuesta. Cuando seguí enviando otro mensaje a través del sitio web del estudio, alguien respondió: «Lamento escuchar que recibió este tipo de comunicación, pero no hay ningún sistema o servidor en nuestro sitio que le proporcione E – enviaría correos electrónicos Verificaría dos veces para asegurarme de que nada esté mal de su parte «. Todo lo cual sugiere que recibir este tipo de correos electrónicos maliciosos en 2022 es prácticamente un hecho de la vida. Si está comprando en línea o socializando, es casi inevitable que alguien en la cadena se verá comprometida y ese punto final se explotará con la esperanza de infectarlo. carácter, dé un paso atrás y comience una discusión en un hilo de correo electrónico separado o llame a la persona directamente Y como muestra mi experiencia con mi estudio de yoga, no espere que la otra persona entienda lo que está pasando, especialmente no haga clic en enlaces o archivos adjuntos abiertos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.